メールセキュリティサービスを選ぶに当たり、プロバイダーに質問すべき7項目を紹介する。さらに、既存の対策が無効化される脅威に今から備える必要がある。
前編(運用やアーカイブまで考慮したメールセキュリティの選定)では、事例を交えて2つのメールセキュリティサービスを紹介した。
後編では、利用するメールセキュリティプロバイダーに不可欠な要素と今すぐ着手すべき新たな脅威を紹介する。
メールセキュリティに関するさまざまな脅威がどのように見え、何が最善の対策であり、どうやって再発しないようにするのか。スタッフにサイバーセキュリティの啓発トレーニングを提供し、理解させる必要がある。
Exabeamのスティーブン・ゲーリー氏(ソリューションアーキテクチャ部門責任者)によると、セキュリティに関する定期的なトレーニングの効果が最も高いという。
メールセキュリティサービスは、自社を標的とする脅威のキャンペーンを見極めるのに役立つ可能性があるとゲーリー氏は話す。最新のエンドポイント保護は、フィッシングの手口、脅威インテリジェンスデータベースで特定される悪意のあるWebサイトへのリンク、エンドユーザーの端末で実行される悪意のあるプロセスを特定し、ブロックできる可能性がある。
だが、最高のセキュリティプロセスを実装したとしても攻撃を完全に阻止するのは不可能だと同氏は警告する。そのため、さまざまな攻撃を可能な限り早いタイミングで見極め、最善の行動を取る能力が必要だ。
ESETのジェイク・ムーア氏は、メールセキュリティサービスは最強の防御を提供する必要があると言う。多要素認証などの追加のセキュリティ層も不可欠だと同氏は話す。
「安全性の高いサービスは高いかもしれない。だが、メールセキュリティは必要な投資であり、そのコストをはるかに上回るメリットがある。大量の添付ファイルを扱う必要があるなら、サンドボックス化などが不可欠になることが証明されている」(ムーア氏)
だがゲーリー氏と同じくムーア氏も、さまざまなリスクを従業員に認識させた上でメールセキュリティサービスを利用すべきだと考えている。「とはいえ、セキュリティシステムを不便だと感じたスタッフはその回避策を見つけ出す可能性がある。保護を強化するには意識トレーニングが不可欠だ」と同氏は話す。
Titaniaのニコラ・ホワイティング氏(最高戦略責任者)は、メールセキュリティプロバイダーに幾つか基本的な疑問を投げ掛けてみるべきだと言う。
ホワイティング氏は次のように補足する。「中小企業やスタートアップ企業など、セキュリティに多くの層を設けられない企業もある。DLP(データ損失防止)とメールの暗号化を比較的低コストで提供するメールセキュリティサービスであれば、実用的な措置になる」
メールセキュリティプロバイダーは量子に耐性のある暗号化をサービスに組み込むべきであり、既に組み込んでいるプロバイダーもあるとサリー大学のロゴイスキ氏は話す。量子コンピューティングの台頭によって現在の暗号化手法が役に立たなくなることを同氏は懸念している。
「既存の暗号の大半は、量子コンピュータによって突破される恐れがある。量子コンピュータに取り組むIBMやGoogleなどは10年後には実用化するとしていることから、準備期間はそれほど長くない」と同氏は話す。
「メールのような機密情報を保存している企業は、数年後にはその機密を保てなくなる。米国のNISTは、『量子に耐性のある』最も有望な暗号化アルゴリズムを決めるプロセスを進めている。うまくいけば2021年中にはそれが決まるだろう。そのとき、脆弱(ぜいじゃく)な暗号化アルゴリズムを置き換える競争が始まる」(ロゴイスキ氏)
メールセキュリティの脅威は何十年も前から存在する。サイバー犯罪者がメールを絶えず標的にし、被害者が出ていることを考えれば、この問題を認識して即座に行動を起こすことが重要だ。メールセキュリティサービスが多数存在することは素晴らしい。だが慎重に選定する必要がある。
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...
【Googleが公式見解を発表】中古ドメインを絶対に使ってはいけない理由とは?
Googleが中古ドメインの不正利用を禁止を公式に発表しました。その理由や今後の対応につ...
「TikTok禁止法案」に米大統領が署名 気になるこれからにまつわる5つの疑問
米連邦上院が、安全保障上の理由からTikTokの米国事業の売却を要求する法案を可決し、バ...